Firepower Management Center Management Access用のDuo 2要素認証の設定

概要

このドキュメントでは、Firepower Management Center(FMC)での管理アクセス用に外部2要素認証を設定するために必要な手順について説明します。 この例では、FMC管理者がISEサーバに対して認証を行い、プッシュ通知の形式の追加認証がDuo認証プロキシサーバによって管理者のモバイルデバイスに送信されます。

前提条件 

要件 

次の項目に関する知識があることが推奨されます。

• Firepower Management Center(FMC)オブジェクトの設定
• Identity Services Engine(ISE)の管理

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

• バージョン6.3.0が稼働するCisco Firepower Management Center(FMC)
• バージョン2.6.0.156が稼働するCisco Identity Services Engine(ISE)
• FMC、ISE、およびインターネットに接続してDuo認証プロキシサーバとして機能するWindowsマシン（Windows 7を実行）
• FMC、ISE、およびDuo管理ポータルにアクセスするためのWindowsマシン
• Duo Webアカウント

注：このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、初期（デフォルト）設定の状態から起動しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

認証フロー

認証フローの説明

1. Cisco FMCへのプライマリ認証の開始
2. Cisco FMCは、Duo認証プロキシに認証要求を送信します
3. プライマリ認証にはActive DirectoryまたはRADIUSを使用する必要があります
4. Duo認証プロキシ接続がTCPポート443を介してDuo Securityに確立される
5. Duo Securityサービスによるセカンダリ認証
6. Duo認証プロキシは認証応答を受信します
7. Cisco FMC GUIアクセスが許可される

設定

設定を完了するには、次のセクションを考慮してください。

FMCの設定手順

ステップ1:[System] > [Users] > [External Authentication]に移動し、[Create an External Authentication Object]に移動し、[Authentication Method]を[RADIUS]に設定します。図に示すように、[Default User Role]で[Administrator]が選択されていることを確認します。

注：10.106.44.177は、Duo認証プロキシサーバのサンプルIPアドレスです。

[Save]と[Apply]をクリックし、図に示すように警告を無視します。

ステップ2：図に示すように、[System] > [Users] > [Users] > [Create a User]に移動し、[Authentication Method]を[External]にチェックします。

     

ステップ1:Duo認証プロキシサーバのダウンロードとインストール

Windowsマシンにログインし、Duo認証プロキシサーバをインストールします。https://dl.duosecurity.com/duoauthproxy-latest.exe

少なくとも1つのCPU、200 MBのディスク領域、および4 GBのRAMを搭載したシステムを使用することを推奨します

注：このマシンは、FMC、RADIUSサーバ（この場合はISE）、およびDuo Cloud（インターネット）にアクセスできる必要があります

ステップ2:authproxy.cfgファイルを設定します。

このファイルをメモ帳++やワードパッドなどのテキストエディタで開きます。

注：デフォルトの場所はC:\Program Files (x86)\Duo Security Authentication Proxy\conf\authproxy.cfg

authproxy.cfgファイルを編集し、次の設定を追加します。

[radius_client]
host=10.197.223.23                 Sample IP Address of the ISE server
secret=cisco                       Password configured on the ISE server in order to register the network device 

FMCのIPアドレスは、RADIUS秘密キーとともに設定する必要があります。

[radius_server_auto]
ikey=xxxxxxxxxxxxxxx
skey=xxxxxxxxxxxxxxxxxxxxxxxxxxx
api_host=api-xxxxxxxx.duosecurity.com
radius_ip_1=10.197.223.76           IP of FMC
radius_secret_1=cisco               Radius secret key used on the FMC
failmode=safe
client=radius_client
port=1812
api_timeout=

ikey、skey、およびapi_hostパラメータを設定してください。これらの値を取得するには、Duoアカウント(https://admin.duosecurity.com)にログインし、[アプリケーション] > [アプリケーションの保護]に移動します。次に、図に示すように、RADIUS認証アプリケーションを選択します。

統合キー= ikey

秘密キー= skey

APIホスト名= api_host

ステップ3: Duo Security Authentication Proxy Serviceを再起動します。ファイルを保存し、WindowsマシンでDuoサービスを再起動します。

Windows Servicesコンソール(services.msc)を開き、サービスのリストでDuo Security Authentication Proxy Serviceを見つけて、図に示すようにRestartをクリックします。

ISEの設定手順

ステップ1:[Administration] > [Network Devices]に移動して、[Add]をクリックし、図に示すようにネットワークデバイスを設定します。

注：10.106.44.177は、Duo認証プロキシサーバのサンプルIPアドレスです。

図に示すように、authproxy.cfgに示す共有秘密を設定します。

ステップ2:[Administration] > [Identities]に移動して、[Add]をクリックし、図に示すようにIdentityユーザを設定します。

Duo管理ポータルの設定手順

ステップ1：ユーザ名を作成し、エンドデバイスでDuo Mobileをアクティブにします

Duoクラウド管理Webページでユーザーを追加します。図に示すように、[ユーザー] > [ユーザーの追加]に移動します。

   

注：エンドユーザにDuoアプリがインストールされていることを確認します。

IOSデバイス用Duoアプリケーションの手動インストール

Androidデバイス用Duoアプリケーションの手動インストール

ステップ2：コードの自動生成：

図に示すように、ユーザの電話番号を追加します。

図に示すように[Activate Duo Mobile]を選択します。 

図に示すように、[Generate Duo Mobile Activation Code]を選択します。 

図に示すように、[Send Instructions by SMS]を選択します。 

SMS内のリンクをクリックすると、Duoアプリは次の図に示すように、[Device Info]セクションのユーザアカウントにリンクされます。

確認

ここでは、設定が正常に機能しているかどうかを確認します。

ISEユーザIDページで追加したユーザクレデンシャルを使用してFMCにログインします。Two Factor Authentication(2FA)のエンドポイントでDuo PUSH通知を受け取り、承認すると、FMCは次の図のようにログインします。 

ISEサーバで、[Operations] > [RADIUS] > [Live Logs]に移動し、FMCでの認証に使用されるユーザ名を見つけ、[detail]列の下で詳細認証レポートを選択します。次の図に示すように、認証が成功したかどうかを確認する必要があります。 

トラブルシュート

ここでは、設定のトラブルシューティングに使用できる情報を示します。

• Duo認証プロキシサーバのデバッグを確認します。ログは次の場所にあります。

     C:\Program Files (x86)\Duo Security Authentication Proxy\log

     メモ帳++やWordPadなど、テキストエディタでauthproxy.logファイルを開きます。

Incorrect credentialsが入力され、認証がISEサーバによって拒否された場合のログスニペット。

2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Sending request from 10.197.223.76 to radius_server_auto        10.197.223.76 is the IP of the FMC
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Received new request id 4 from ('10.197.223.76', 34524)
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] (('10.197.223.76', 34524), 4): login attempt for username u'cpiplani'
2019-08-04T18:54:17+0530 [DuoForwardServer (UDP)] Sending request for user u'cpiplani' to ('10.197.223.23', 1812) with id 199
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] Got response for id 199 from ('10.197.223.23', 1812); code 3         10.197.223.23 is the IP of the ISE Server.
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Primary credentials rejected - No reply message in packet
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Returning response code 3: AccessReject
2019-08-04T18:54:17+0530 [RadiusClient (UDP)] (('10.197.223.76', 34524), 4): Sending response

• ISEで、[Operations] > [RADIUS] > [Live Logs]に移動して、認証の詳細を確認します。

ISEおよびDuoを使用した正常な認証のログスニペット：

2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Sending request from 10.197.223.76 to radius_server_auto
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Received new request id 5 from ('10.197.223.76', 34095)
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] (('10.197.223.76', 34095), 5): login attempt for username u'cpiplani'
2019-08-04T18:56:16+0530 [DuoForwardServer (UDP)] Sending request for user u'cpiplani' to ('10.197.223.23', 1812) with id 137
2019-08-04T18:56:16+0530 [RadiusClient (UDP)] Got response for id 137 from ('10.197.223.23', 1812); code 2                         <<<< At this point we have got successful authentication from ISE Server.
2019-08-04T18:56:16+0530 [RadiusClient (UDP)] http POST to https://api-f754c261.duosecurity.com:443/rest/v1/preauth
2019-08-04T18:56:16+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Starting factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/preauth>
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Got preauth result for: u'auth'
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] Invalid ip. Ip was None
2019-08-04T18:56:17+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] http POST to https://api-f754c261.duosecurity.com:443/rest/v1/auth
2019-08-04T18:56:17+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Starting factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/auth>
2019-08-04T18:56:17+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Stopping factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/preauth>
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Duo authentication returned 'allow': 'Success. Logging you in...'
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Returning response code 2: AccessAccept             <<<< At this point, user has hit the approve button and the authentication is successful.
2019-08-04T18:56:30+0530 [HTTPPageGetter (TLSMemoryBIOProtocol),client] (('10.197.223.76', 34095), 5): Sending response
2019-08-04T18:56:30+0530 [duoauthproxy.lib.http._DuoHTTPClientFactory#info] Stopping factory <_DuoHTTPClientFactory: https://api-f754c261.duosecurity.com:443/rest/v1/auth>

関連情報

• Duoを使用したRA VPN認証
• テクニカル サポートとドキュメント – Cisco Systems